Kiểm soát về các điều khoản tài nguyên

Mọi người đều biết rằng việc khóa chặt và bảo vệ tài nguyên của mình
trên mạng là một điều rất quan trọng. Các tài nguyên cần được bảo vệ ở
đây gồm có các thư mục, file được chứa trong chúng, cũng như một số
khóa registry được đặt trên các máy chủ và máy trạm trong doanh
nghiệp. Chúng ta không thể quên các đối tượng Active Directory cư trú trên
các bộ điều khiển miền. Tất cả tài nguyên đó cần phải được bảo vệ để người
dùng không có nhiệm vụ sẽ không thể truy cập vào đó. Để kiểm soát điều
khoản trên các tài nguyên này, bạn có rất nhiều sự lựa chọn. Một số lựa chọn
khá hấp dẫn hơn nên chúng ta hãy xem xét nghiên cứu tỉ mỉ đến các lựa chọn
này.

Điều khoản tài nguyên 101

Để có được một thảo luận liên quan đến các điều khoản tài nguyên, chúng tôi
đã phải gạn lọc những tài nguyên nào sẽ tấn công và cách bảo vệ tài nguyên
đó bằng các điều khoản như thế nào. Quả thực chúng ta có một số lượng
khổng lồ tài nguyên trên mỗi mạng, chính vì vậy không có cách nào có thể xử
trí được tất cả chúng. Tuy vậy, chúng tôi sẽ giới thiệu những tài nguyên chính
mà có lẽ bạn cũng là người quan tâm đến việc kiểm soát chúng.

Trước khi xử trí danh sách các tài nguyên, chúng tôi muốn gạn lọc những gì
dường như rất bừa bãi và lộn xộn thậm chí với cả các quản trị viên dày dạn
kinh nghiệm. Có hai kiểu điều khoản có thể được cấu hình trên mỗi tài
nguyên. Đó là điều khoản NTFS và điều khoản chia sẻ. Các điều khoản mà

chúng ta sẽ thảo luận là điều khoản NTFS. Các điều khoản chia sẻ thực sự
không cung cấp nhiều tính năng bảo mật đối với tài nguyên, vì các điều
khoản này chỉ kiểm soát sự truy cập vào thư mục được chia sẻ thay vì cung
cấp sự kiểm soát truy cập cốt lõi với các thư mục nhỏ và file có trong thư
mục chia sẻ đó. Để gạn lọc ra nơi mà mỗi điều khoản này được cấu hình, điều
khoản chia sẻ được cấu hình bằng sử dụng tab Share như trong hình 1.

Hình 1: Mục kiểm soát các điều khoản chia sẻ trong thư mục chia sẻ từ một
mạng
Các điều khoản NTFS được kết hợp với tab Security như trong hình 2.

Hình 2: Các điều khoản NTFS được đặt và cấu hình trên tab Security
Lưu ý:
Tab Security thường không có sẵn trên các máy tính không có ấn bản NTFS
được cấu hình. Các ấn bản này không được cấu hình như hệ thống file FAT
hay FAT32.

Các tài nguyên có điều khoản NTFS có liên quan gồm có:
 Thư mục
 Tệp
 Các khoá registry
 Máy in
 Đối tượng Active Directory
Danh sách các tài nguyên này khá quan trọng vì chỉ có các tài nguyên này có
thể có Access Control List (ACL) tên hệ thống Windows. Trong bài này,
chúng tôi sẽ tập trung vào cách thay đổi điều khoản trên các thư mục, file và
đối tượng Active Directory.

Cấu hình các điều khoản tài nguyên cho file và thư mục


Như đã nói từ trước, bạn có thể vào tab Security trên mỗi file hoặc thư mục
để truy cập vào danh sách các điều khoản này. Có một số vấn đề chính bạn
cần lưu ý khi thiết lập các điều khoản đối với các tài nguyên này.

Đầu tiên, khi thiết lập điều khoản cho các file và thư mục, cách tốt nhất để
thiết lập điều khoản cho các nhóm, không tách riêng tài khoản người dùng.
Thứ hai, bạn cần thiết lập mức truy cập cho mỗi file hoặc thư mục. Như chỉ
thị trong hình 3, có một số điều khoản chuẩn có thể được thiết lập mà không
cần phải vào điều khoản Advanced đối với tài khoản.

Hình 3: Các điều khoản chuẩn có thể được thiết lập cho mỗi tài khoản
Hình 4 minh chứng rằng bạn cũng có thể vào các điều khoản Advanced để
cung cấp các mức lõi của điều khoản cho mỗi tài nguyên.

Hình 4: Các điều khoản Advanced cho phép kiểm soát lõi trên vấn đề truy
cập đến tài nguyên.
Lưu ý:
Kích vào nút Edit trong hình 4 bạn sẽ thấy một danh sách đầy đủ các điều
khoản chi tiết Advanced. Đây không phải là cách tuyệt vời nhất để quản lý tài
nguyên, vì nó có thể gây ra khó khăn đáng kể đối với việc cấu hình, quản lý
cũng như khắc phục sự cố truy cập đến tài nguyên.

Cấu hình các điều khoản cho đối tượng Active Directory

Quá trình cấu hình các đối tượng Active Directory đều giống nhau, nhưng có
một số wizard có thể giúp bạn cấu hình một cách toàn bộ. Đây chính là một
wizard giúp ích vì nó có đến hơn 1000 điều khoản nâng cao cho các đối
tượng Active Directory, như các đơn vị tổ chức, xem hình 5.

Hình 5: Danh sách một phần các điều khoản cho khối tổ chức

Để truy cập vào wizard này, đơn giản bạn chỉ cần kích vào nút cần được cấu
hình. Việc kích này sẽ lộ ra tùy chọn menu Delegate Control. Khi đã chọn,
hộp thoại Delegation of Control Wizard sẽ xuất hiện như trong hình 6 bên
dưới.

Hình 6: Delegation of Control Wizard cho phép bạn thực hiện việc cấu hình
dễ dàng các điều khoản trên Active Directory Objects
Wizard này sẽ cho phép bạn chỉ định “ai” (người dùng hay nhóm nào) sẽ có
mức truy cập “gì” (các điều khoản cho phép) đối với các đối tượng trong
Active Directory.

Lưu ý:
Hoàn toàn có thể sử dụng tab Security cho các đối tượng Active Directory
giống như cấu hình thư mục và file. Tuy vậy, đây là một nhiệm vụ khá chán
có thể gây khó hiểu cho hầu hết cả các quản trị viên nhiều kinh nghiệm.

Cấu hình các điều khoản tài nguyên bằng Group Policy

Khi nói đến việc quản lý các điều khoản tài nguyên với Group Policy, bạn chỉ
có thể quản lý các file và thư mục mà không thể quản lý được các đối tượng
Active Directory. (Các điều khoản chính của Registry cũng có thể được quản
lý bởi Group Policy). Các thiết lập cho việc kiểm soát điều khoản này nằm
trong phần Computer Configuration của Group Policy, bạn có thể xem trong
hình 7.

Hình 7: Nút File System cho phép bạn cấu hình các điều khoản của file và
thư mục bằng Group Policy
Để sử dụng tùy chọn này, bạn chỉ cần tạo và liên kết một Group Policy
Object (GPO) đến một nút gồm có tài khoản máy tính mà bạn muốn cấu hình.
Khi đã thực hiện xong viêc này, soạn thảo GPO và kích chuột phải vào nút

File System. Chọn tùy chọn Add File menu, có thể duyệt hoặc đánh vào đó
đường dẫn đến file hay thư mục mà bạn muốn quản lý các điều khoản trên
nó. Khi thêm vào đó đường dẫn, bạn sẽ thấy hiển thị tab Security cho tài
nguyên đó, xem hình 8.

Hình 8: Các điều khoản bảo mật có thể được thiết lập trên file và thư mục
trong GPO
Mặc dù bạn có thể sử dụng Group Policy để thay đổi hoặc thiết lập các điều
khoản trên tài nguyên đó, nhưng không nên làm như vậy vì hiệu suất của ứng
dụng. Một vấn đề đã được minh chứng rằng có quá nhiều điều khoản tồn tại
đã được thiết lập bằng Group Policy sẽ làm chậm việc đăng nhập ban đầu và
có thể làm chậm cả hệ thống trong suốt khoảng thời gian refresh background
định kỳ. Nếu các thiết lập này được sử dụng chúng ta chỉ nên sử dụng một
phần trên mỗi tài nguyên này.

Cấu hình các điều khoản tài nguyên bằng kịch bản

Sau nhiều nghiên cứu và phân tích, chúng tôi đã chỉ ra rằng bằng việc sử
dụng kịch bản để thiết lập được các điều khoản tài nguyên là một cách hoàn
toàn không có nhiều hiệu quả cho việc thiết lập điều khoản cho cả thư mục và
file cũng như các đối tượng Active Directory. Tuy vậy, chúng tôi vẫn muốn
đề cập đến một số công cụ có thể giúp bạn thực hiện các hành động này, nếu
bạn vẫn muốn sử dụng kịch bản.
Để sử dụng kịch bản với các điều khoản thư mục và file, bạn có thể sử dụng
CACLS. CACLS sẽ cho phép bạn thiết lập và tạo điều khoản cho các file và
thư mục. Công cụ này hoàn toàn được miễn phí từ Microsoft và có thể được
sử dụng độc lập hoặc bên trong VB hay các kịch bản khác.

Với các điều khoản đối tượng Active Directory, bạn có thể sử dụng các tùy
chọn PowerShell mới có. PowerShell được cung cấp cho Windows XP và các

hệ điều hành sau nó. PowerShell có rất nhiều thế mạnh để có thể kiểm soát
được các điều khoản Active Directory.

Với cả hai tùy chọn ở trên, các vấn đề của kịch bản và PowerShell mà chúng
tôi đã nói với tất cả sự am hiểu của bản thân rằng, mặc dù các tùy chọn này
được cung cấp sẵn nhưng sẽ dễ dàng và hiệu quả hơn nếu bạn sử dụng các
phương pháp chuẩn để thiết lập và kiểm soát các điều khoản. Tuy vậy không
thể không nói đến điểm mạnh của kịch bản, chúng thực sự cũng có nhiều
điểm mạnh và hữu dụng, vì vậy nếu bạn muốn có thêm nhiều thông tin chi
tiết về các tùy chọn này, chúng tôi sẽ cung cấp cho các bạn một số liên kết
bằng tiếng anh dưới đây:



Kết luận

Việc kiểm soát các tài nguyên mạng và điều khoản của chúng là một vấn đề
cực kỳ quan trọng đối với việc bảo vệ tài nguyên trong công ty của bạn. Nếu
bạn cần kiểm soát các file HR, bí mật của công ty, nhóm các đơn vị tổ chức
hay những tài nguyên khác, bạn sẽ cần phải thiết lập và quản lý điều khoản
có liên quan đến mỗi tài nguyên này. Bạn có nhiều tùy chọn trong việc này,
nhưng việc quyết định tùy chọn nào được sử dụng để có thể tạo được một ảnh
hưởng lớn đối với khả năng quản lý và hiệu quả cho mạng của bạn là việc
làm rất quan trọng. Các phương pháp thủ công không phải tất cả đều dễ dàng
và hiệu quả nhưng chúng có thể thực hiện tốt một số phần việc của bạn với sự
chính xác và không cần đến bất kỳ vấn đề liên quan đến các máy tính trong
thời điểm khởi động. Group Policy cũng là một tùy chọn hay, tuy nhiên bạn
cần phải hạn chế các tùy chọn trong nó chỉ cho một số thư mục và file vì ứng
dụng của các điều khoản này có thể gây mất nhiều thời gian. Kịch bản cũng
là một tùy chọn, nhưng thời gian để kiểm tra các kịch bản có thể mất nhiều

hơn việc sử dụng các thiết lập có sẵn.